28Aug
מחשבים אישיים חדשים מגיעים עם קושחת UEFI ו- Secure Boot מופעלת.האתחול המאובטח מונע את הפעלתן של מערכות ההפעלה, אלא אם הן חתומות על-ידי מפתח הטעון ל- UffI - מחוץ לתיבה, רק תוכנה חתומה על-ידי Microsoft יכולה לאתחל.
מיקרוסופט מנדט כי ספקי PC לאפשר למשתמשים לבטל את Secure Boot, כך שתוכל לבטל את Secure Boot או להוסיף מפתח מותאם אישית משלך כדי לעקוף מגבלה זו.לא ניתן להשבית את המארח המאובטח במכשירי ARM שבהם פועל Windows RT.
כיצד Secure Boot Works מחשבים מסוג
שמגיעים עם Windows 8 ו- Windows 8.1 כוללים קושחת UEFI במקום ה- BIOS המסורתי.כברירת מחדל, הקושחה של UEFI של ההתקן תפעיל רק את מטעני האתחול החתומים על ידי מפתח המשובץ בקושחת UEFI.תכונה זו ידועה בשם "אתחול מאובטח" או "מהימן אתחול". על מחשבים מסורתיים ללא תכונה זו אבטחה, rootkit יכול להתקין את עצמו ולהיות מטעין אתחול.ה- BIOS של המחשב היה לאחר מכן לטעון את rootkit בזמן האתחול, אשר היה האתחול לטעון את Windows, מסתיר את עצמו ממערכת ההפעלה הטבעה עצמו ברמה עמוקה.
Secure Boot חוסם את זה - המחשב רק יגרום לאבטחה של תוכנה מהימנה, ולכן מטעני אתחול זדוניים לא יוכלו להדביק את המערכת.
במחשב Intel x86( לא במחשבי ARM), יש לך שליטה על אתחול מאובטח.תוכל לבחור להשבית אותו או אפילו להוסיף מפתח חתימה משלך.ארגונים יכולים להשתמש במפתחות שלהם כדי להבטיח שרק מערכות הפעלה לינוקס מאושרות יכולות לאתחל, לדוגמה.
אפשרויות להתקנת לינוקס
יש לך כמה אפשרויות להתקנת לינוקס במחשב עם Secure Boot:
- בחר הפצה לינוקס התומכת באבטחה מאובטחת : גרסאות מודרניות של אובונטו - החל מאובונטו 12.04.2 LTS ו- 12.10 - יאתחול ויתקיןבדרך כלל על רוב המחשבים עם Secure Boot מופעלת.הסיבה לכך היא כי מטעין האתחול EFI בשלב ראשון של אובונטו נחתם על ידי מיקרוסופט.עם זאת, מפתחת אובונטו מציינת כי מטעין האתחול של אובונטו אינו חתום עם מפתח שנדרש על-ידי תהליך ההסמכה של מיקרוסופט, אבל פשוט המפתח של מיקרוסופט הוא "מומלץ". משמעות הדבר היא כי אובונטו לא יכול לאתחל על כל מחשבי UEFI.ייתכן שיהיה על המשתמשים להשבית את Secure Boot כדי להשתמש ב- Ubuntu במחשבים אישיים מסוימים.
- בטל אתחול מאובטח : אתחול מאובטח יכול להיות מושבת, אשר יחליף את היתרונות הביטחוניים שלה על היכולת לקבל אתחול המחשב שלך משהו, בדיוק כמו מחשבים ישנים עם ה- BIOS המסורתי לעשות.זה גם נחוץ אם אתה רוצה להתקין גירסה ישנה יותר של Windows שלא פותחה עם Secure Boot בראש, כגון Windows 7.
- הוספת מפתח חתימה לקושחה UEFI : הפצות לינוקס מסוימות עשויות לחתום על מטעני האתחול שלהםהמפתח שלהם, שבו אתה יכול להוסיף קושחה UEFI שלך.זה לא נראה שכיח כרגע.
עליך לבדוק לאיזה תהליך ממליצה ההפצה שלך ב- Linux.אם עליך לאתחל הפצה לינוקס ישנה יותר שאינה מספקת מידע על כך, יהיה עליך לבטל את אתחול מאובטח בלבד.
אתה צריך להיות מסוגל להתקין את הגירסאות הנוכחיות של אובונטו - או לשחרר LTS או את המהדורה האחרונה - ללא כל בעיה על רוב המחשבים החדשים.עיין בסעיף האחרון לקבלת הוראות על אתחול מתוך התקן נשלף.
כיצד לבטל את אתחול מאובטח
באפשרותך לשלוט באתחול מאובטח מתוך מסך הגדרות קושחה של UEFI.כדי לגשת למסך זה, יהיה עליך לגשת לתפריט אפשרויות האתחול ב- Windows 8. לשם כך, פתח את סמל ההגדרות - הקש על מקש Windows + I כדי לפתוח אותו - לחץ על לחצן ההפעלה ולאחר מכן לחץ והחזק את המקש Shift כ-אתה לוחץ על הפעלה מחדש.
המחשב יופעל מחדש במסך אפשרויות האתחול המתקדמות.בחר באפשרות פתרון בעיות, בחר אפשרויות מתקדמות ולאחר מכן בחר הגדרות UEFI.(ייתכן שלא תראה את האפשרות UEFI Settings על כמה מחשבי Windows 8, גם אם הם מגיעים עם UEFI - עיין בתיעוד של היצרן לקבלת מידע על הגעה למסך ההגדרות של UEFI במקרה זה.)
תועבר ל UEFIהגדרות, שבו אתה יכול לבחור להשבית את Secure Boot או להוסיף מפתח משלך.
אתחול ממדיה נשלפת
ניתן לבצע אתחול ממדיה נשלפת על-ידי גישה לתפריט אפשרויות האתחול באותו אופן - החזק את Shift לחוץ בעת לחיצה על האפשרות הפעל מחדש.הכנס את התקן האתחול של הבחירה, בחר השתמש בהתקן ובחר את ההתקן שממנו ברצונך לאתחל.
לאחר אתחול מהתקן הנשלף, ניתן להתקין את לינוקס כרגיל, או פשוט להשתמש בסביבה החיה מהמכשיר הנשלף מבלי להתקין אותו.
זכור כי אתחול מאובטח היא תכונה אבטחה שימושית.אתה צריך להשאיר את זה מופעל אלא אם כן אתה צריך להפעיל מערכות הפעלה כי לא אתחול עם Secure Boot מופעלת.